Las empresas siguen viéndose afectadas por el ransomware y, en respuesta, están gastando más dinero, recursos, energía y tiempo para defenderse contra el volumen y la complejidad de los ataques de ransomware. Los operadores de ransomware han evolucionado rápidamente en los últimos meses y han ido más allá de simplemente cifrar archivos y datos. Históricamente, las organizaciones han realizado copias de seguridad de los datos para recuperarse de los ataques de ransomware que causaban interrupciones generalizadas de la actividad empresarial mediante el cifrado de archivos y datos. Desgraciadamente, hacer copias de seguridad de los datos ya no es suficiente para que las organizaciones se recuperen de todos los daños infligidos por los atacantes de ransomware y, en la mayoría de los casos, los daños son irreversibles.
Los actores de las amenazas se están involucrando progresivamente en ataques avanzados y persistentes para aumentar las ganancias monetarias de una intrusión, un pirateo o una brecha, y despliegan ransomware para llevar a cabo ataques que van más allá del cifrado de archivos. Además de cifrar archivos, los atacantes están llevando a cabo reconocimientos para encontrar una amplia variedad de información corporativa sensible moviéndose a través de la red de una organización. Según un informe reciente de Mandiant, los agresores buscan datos confidenciales, como acuerdos de rescisión, contratos, historiales médicos y certificados de cifrado. Antes de cifrar los datos, los atacantes los están exfiltrando utilizando canales cifrados para evadir las defensas perimetrales que son difíciles de operar y mantener.
Estas violaciones de datos dan más poder, control y ventaja a los actores de la amenaza y exponen a una organización a un riesgo inmenso y a daños irreparables. Las empresas corren el riesgo de perder la confianza de los consumidores, la reputación de su marca y la moral de sus empleados, además de ser responsables de daños legales y punitivos y de demandas colectivas. Los ataques de ransomware también aumentan los costes operativos y normativos y frenan drásticamente la agilidad y la competitividad de las empresas, impulsadas por la adopción de tecnologías digitales nuevas e innovadoras.
Los atacantes utilizan los datos robados de forma perversa y utilizan sitios de filtración de datos en la web oscura mediante redes TOR o sitios de medios sociales como Facebook para nombrar y avergonzar a sus víctimas. Para promover su ataque, los operadores de ransomware proporcionan muestras de los datos robados de clientes o empresas a medios de comunicación de renombre y a publicaciones de tecnología y ciberseguridad para llamar la atención y aumentar sus demandas.
La probabilidad de evitar la filtración de datos pirateados es casi imposible y el daño, casi siempre, es irreversible. CrowdStrike advierte de la evolución de las tácticas que implican a los actores de amenazas que alojan datos robados por otros actores de amenazas, lo que haría extremadamente difícil para las víctimas negociar cualquier acuerdo vinculante viable para recuperar o evitar la liberación de los datos robados.
En algunos casos, los atacantes configuran conjuntos de datos de información personal identificable (PII) que se pueden buscar y que se extraen del material robado y agravan la situación publicando datos con una cadencia regular, renovando la atención y la cobertura de los medios de comunicación. Los atacantes persiguen a los empleados internos llamándoles y acosándoles, y presionan a las organizaciones para que revelen los detalles de una violación notificándoselos a sus socios comerciales. Estas maniobras coercitivas afectan al ánimo de los empleados y generan desconfianza en las relaciones comerciales.
Entonces, ¿puede prevenir los daños causados por el ransomware?
Las amenazas de ransomware siguen innovando y evolucionando. Pueden recopilar una variedad de información sensible mientras exfiltran datos después de la intrusión inicial, moviéndose libremente por la red de una organización, realizando un reconocimiento del entorno durante varios meses/días y utilizando el cifrado para evadir la detección. Según el informe M-TRENDS 2021 para Mandiant, el 81% de las nuevas familias de malware rastreadas no utilizaban herramientas y código disponibles públicamente. Esto sugiere claramente que las medidas preventivas basadas en firmas son lamentablemente inadecuadas e ineficaces para defenderse de los ataques de ransomware actuales. Una vez que han superado las herramientas de prevención, ¿cómo se detiene un ataque?
En más de la mitad de las intrusiones investigadas por Mandiant en 2020, los adversarios utilizaron la ofuscación, como el cifrado o la codificación para dificultar la detección. Las herramientas de seguridad tradicionales tienen una visibilidad limitada y se basan en una lista predefinida de servicios, usuarios y aplicaciones de confianza sin validar continuamente si estos servicios de confianza se comportan con normalidad. Es importante reconocer que los atacantes llevan a cabo ataques en múltiples etapas que van mucho más allá del compromiso inicial. Esto incluye persistencia, escalada de privilegios, reconocimiento y descubrimiento interno, movimiento lateral, acceso a credenciales, mando y control, evasión de defensas, exfiltración, etc. Los expertos de Mandiant observaron que los atacantes utilizan el 63% de MITRE ATT&CK entre todas las investigaciones sobre amenazas a partir de 2020.
Las herramientas preventivas tradicionales ofrecen una cobertura de seguridad limitada, durante el acceso inicial o la fase de exfiltración de un ataque, y su puesta en funcionamiento y mantenimiento requieren un esfuerzo manual continuo. Además, estas herramientas son manuales, se basan en agentes y son conocidas por causar interrupciones en el negocio, lo que limita aún más su eficacia en materia de seguridad.
Las organizaciones deben hacer frente a la complejidad de la superficie de ataque digital, la sofisticación de los operadores de ransomware, las limitaciones de las herramientas de seguridad tradicionales y la escasez crónica de profesionales de la ciberseguridad.
La plataforma Vectra Cognito detiene el ransomware
Las organizaciones utilizan la solución de ciberseguridad de Vectra, basada en IA y de alto rendimiento, para detectar y detener el ransomware antes de que pueda causar daños irreversibles y permanentes a empresas y clientes.
Con Vectra, puede detener el ransomware antes de que pueda cifrar archivos y exfiltrar datos, ya que la plataforma Cognito, sin agentes e impulsada por IA, une de forma continua y automática detecciones de baja fidelidad dispersas en el tiempo, en la red, en cuentas y hosts, y transforma y permite a sus equipos SOC detener con éxito sofisticados ataques de ransomware.
En el siguiente vídeo, demostraré cómo la plataforma Vectra Cognito supervisa continuamente todas las fases de un ataque de ransomware y lo detiene antes de que pueda cifrar archivos y filtrar datos. La Plataforma Cognito muestra automáticamente las cuentas y hosts en riesgo, a través de la red empresarial y la cloud, y rastrea el comportamiento del atacante que incluye comunicación Command & Control a través de túneles HTTPS cifrados, llamadas LDAP y RPC para mapear la red, reconocimiento de cuentas privilegiadas y llamadas RPC para moverse lateralmente a través de una red plana.
La plataforma Vectra Cognito ofrece una visibilidad completa a través de la red digital de una organización que abarca desde on-prem a la cloud, de híbrido a cloud, de oficina a trabajador remoto, de IaaS a SaaS y de IoT a OT y supervisa de forma continua y automática las amenazas, el ransomware y los atacantes a través de múltiples fases del ciclo de vida de un ataque. Vectra Cognito es una solución sin agente impulsada por la IA líder del sector, siempre activa e inteligente, con una capacidad única para detectar y detener el volumen y la sofisticación de los ataques de ransomware actuales.
Descubra cómo detener el ransomware hoy mismo.